领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2020-5427:Spring Cloud Data Flow任务执行排序查询中存在SQL注入的可能性
描述
在 Spring Cloud Data Flow 中,2.6.x 版本(低于 2.6.5)、2.5.x 版本(低于 2.5.4)的应用程序在请求任务执行时容易受到 SQL 注入攻击。
受影响的 Spring 产品和版本
- Spring Cloud Data Flow
- 2.6.x
- 2.5.x
缓解措施
用户应升级到 2.5.4 及更高版本。已修复此问题的版本包括
- Spring Cloud Data Flow
- 2.7.0
- 2.6.5
- 2.5.4
鸣谢
此问题由 CHECK24 Factory GmbH 的 Sufijen Bani 发现并负责任地报告。
参考
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5427
- https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.7.0
- https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.6.4
历史记录
- 2020-12-01:发布 2.7.0 版本,包含修复
- 2020-11-24:发布 2.6.x 系列的修复
- 2020-10-30:初步确定漏洞。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略